歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

伊朗APT組織MuddyWater加入新的漏洞利用

來源:本站整理 作者:佚名 時間:2019-06-14 TAG: 我要投稿

近期,研究人員發現了關于伊朗APT組織泄露的敏感信息,包括攻擊能力、策略和攻擊工具。泄露是通過telegram實現的。第一次泄露的內容是APT-34 (OilRig 組織)的攻擊框架和webshell。之后的泄露是關于MuddyWater的。
Clearsky安全研究人員的分析了該組織的最新漏洞利用使用和TTP。
Clearsky檢測到了MuddyWater使用的新的高級攻擊向量,攻擊目標是政府實體和電信行業。TTP包括利用CVE-2017-0199漏洞的誘餌文檔作為攻擊的第一階段;攻擊的第二階段是與被黑的C2服務器進行通信,并下載感染了宏的文件。
MuddyWater (也叫SeedWorm/Temp.Zagros)是伊朗支持的APT組織。該組織從2017年開始活動,自那時起開始了多起全球性的監控活動,其最著名的攻擊活動主要是針對中東和中亞國家的。該組織的攻擊目標主要包括政府、軍事、電信和學術機構。在過去幾個月,Clearsky研究人員監控和檢測到了這些TTP的惡意文件——嵌入了宏的誘餌微軟軟件和利用CVE-2017-01995漏洞的文檔。這也是MuddyWater第一次聯合使用2個向量。

通過分析Rana文檔,研究人員發現MOIS攻擊團隊分成兩部分,每個部分都有不同的目的和作用。
第一個是監控團隊,專長是攻擊系統;第二個是社工團隊,通過社會工程和魚叉式釣魚攻擊方法來入侵資產。Clearsky分析認為MuddyWater應該主要負責社工。
攻擊向量1-惡意宏
研究人員分析發現在最近的攻擊活動中,該組織重新使用被黑的服務器。攻擊者使用服務器來保存用于第二階段攻擊的惡意代碼段,這與之前的攻擊活動是類似的。同時,研究人員發現了許多MuddyWater用來攻擊塔吉克斯坦所用的文件,使用的是經典攻擊向量——惡意VBA宏。
文件UNDP_TJK_Agreement_ORGS.doc就是一個偽裝成聯合國塔吉克斯坦開發方案的官方文檔。打開該文檔后,就會創建一個VBS文件。它是用多個VBE、JS和Base64層編碼的,這和之前MuddyWater的攻擊向量也是類似的。惡意軟件的第二階段是從IP 185.244.149[.]218處下載的。而且研究人員發現被MuddyWater黑掉的服務器就位于被攻擊目標所在的國家。比如,Omri Segev Moyal就發現了該組織在巴基斯坦使用的被黑的網站:hxxp://corplink[.]com[.]pk/wp-content/themes/buisson/16433.jpg。該地址會與許多惡意文件進行痛惜性能,其中一個文件就是Nayatel.server.docx,偽裝成了巴基斯坦的FTTH電信服務提供商:

研究人員還發現了MuddyWater黑掉的位于中國的服務器:
hxxps://bbs[.]kafan[.]cn/thread-2150909-1-1.html

攻擊向量2 – CVE-2017-0199
CVE-2017-0199是微軟office的漏洞,也稱為Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API,允許遠程攻擊者通過偽造的文檔來執行任意代碼。
有漏洞的版本包括:
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1
MuddyWater過去并沒有使用過這樣的TTP。2年前,Palo Alto研究人員發現伊朗APT組織OilRig使用過滲透測試向量。
比如,近期被上傳到VirusTotal的一個文件就偽裝成了俄語書寫的文檔。研究人員分析發現該文檔和之前發現的一個惡意文檔是相同的。在已知的攻擊向量中,該文件會與IP地址185.185.25[.]175在80端口上進行通信。如果文件接收到來自服務器的正面消息,就會執行下面的重定向到服務器。

如果重定向失敗,用戶就會被重定向到Wikipedia頁面:

下面是來自Shodan服務器的截圖。從中可以看出,仍然被重定向到Wikipedia:

目前只有3個反病毒引擎識別出了該文檔。而之前的攻擊中,惡意文檔被識別的次數為32次。

5月份,研究人員在twitter上也報告了另一個統計土耳其的可疑文檔,攻擊向量也是相同的。
文件類型1
在第一階段,文檔打開后,會出現下面的錯誤消息:

受害者同意后,會出現另外一個錯誤消息詢問受害者恢復文檔的內容:

如果受害者確認,該漏洞就會被激活,word就會與C2服務器進行通信:

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 微信流量怎么赚钱的钱 听音乐赚钱中文网站 老公能赚钱 绝对不让婆婆来帮忙 有没有卖资源赚钱的游戏 迅雷赚钱宝知道保修期 2018网上最赚钱的行业 时间多网络怎么赚钱 开加盟旅行社赚钱吗 怎么样通过淘宝刷单赚钱 头条阅读赚钱的软件 太原跑货拉拉赚钱吗 伊甸园注册怎么赚钱的 什么手工赚钱女人到底该做什么 手游至尊传世能赚钱吗 出卖身体赚钱的视频 60级盗贼和牧师配合适合去哪赚钱